Apple beseitigt kritische PDF-Lücke in iOS 4

Apple hat sein Mobilbetriebssystem iOS auf die Version 4.3.4 aktualisiert. Das Update stopft zwei Löcher in der Bibliothek, die iOS 4 zum Betrachten von PDF-Dateien verwendet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte gewarnt, dass allein das Anklicken eines manipulierten PDF-Dokuments oder der Aufruf einer mit PDF-Dokumenten versehenen Website ausreicht, um iPhone, iPod Touch oder iPad ohne Wissen des Nutzers mit Schadsoftware zu infizieren.

Den Versionshinweisen zufolge stecken zwei Fehler in CoreGraphics beim Umgang mit TrueType-Schriften beziehungsweise PostScript-Schriften vom Typ 1. Sie können einen Absturz der Anwendung auslösen oder für das Einschleusen und Ausführen von Schadcode missbraucht werden. Darüber hinaus behebt Apple eine Sicherheitslücke im IOMobileFrameBuffer, über die ein Angreifer die Kontrolle über ein System übernehmen könnte.

Der Patch steht für iPhone 4, iPhone 3G S, iPad 2, iPad sowie iPod Touch der dritten und vierten Generation zur Verfügung. Nutzer des CDMA-iPhone des US-Mobilfunkanbieters Verizon können iOS 4.2.9 installieren, um die Anfälligkeiten zu beheben. Beide Updates werden über iTunes verteilt.

Auch für einen browserbasierten Jailbreak lässt sich die Lücke nutzen. Er befreit iOS-Geräte dauerhaft von den werksseitigen Beschränkungen, die eine Installation von Programmen verhindern, die Apple nicht freigegeben hat. Nutzer freigeschalteter Geräte können als Alternative zu Apples offiziellen Patch via Cydia den „PDF Patcher 2“ installieren.

Es ist das zweite Mal, dass Apple eine Anfälligkeit in seiner Technologie zum Anzeigen von PDF-Dateien beseitigen muss. Im August hatte eine frühere Version von Jailbreakme.com ebenfalls einen Fehler im PDF-Viewer beim Laden von Schriften ausgenutzt.